XSS是一种在前端执行JavaScript脚本的攻击方式。随着UGC站点的流行,用户产生数据剧增,数据块的网络连接越来越有利于XSS的实施与传播。XSS带来的危害有:窃取用户cookies,窃取个人信息;劫持会话,操纵用户网络数据;发起ddos攻击; 篡改页面、弹出广告等。1. 名词解释XSS。全称
2023-01-04
在Web开发中,常会遇到数据导出的需求。这篇主要介绍如何快速将数据导出,并保存为Excel文件。1. 前端Web开发中,格式化数据常以table的形式展示。下面是一个人员薪酬信息表,以导出这份数据为例。姓名职位年龄薪水Tiger NixonTiger NixonSystem Architect61$
2023-01-04
如果使用Chrome浏览器测试XSS向量,请关闭浏览器对XSS的拦截功能。首先,关闭所有Chrome浏览器进程,然后执行:1 chrome.exe -args --disable-xss-auditor --args --disable-web-security 进入非Web安全模式。1. 利用
2023-01-04
1. 下载工具 - qshellqshell 是利用七牛文档上公开的 API 实现的一个方便开发者测试和使用七牛API服务的命令行工具,使用 Go 语言编写而成。目前该工具融合了七牛存储, CDN ,以及其他的一些七牛服务中经常使用到的方法对应的便捷命令。| 版本 | 支持平台 | 链接 | 更新日
2023-01-04
副标题: 使用D3实际交互式图表原作名: Interactive data visualization for the Web作者: [美] Scott Murray译者: 李松峰出版社: 人民邮电出版社出版年: 2013-6ISBN: 9787115320117
2023-01-04
Linux 平台上的性能工具有很多,眼花缭乱,长期的摸索和经验发现最好用的,还是那些久经考验的、简单的小工具。下面是,系统性能专家 Brendan D.Gregg ,关于Linux性能方面的talk(Linux Performance Tools)中所整理的命令工具。1. 总览2. 监控3. 测试4
2023-01-04
1. 同源策略同源策略是浏览器的安全基石。同源的定义,包括三个方面:协议相同域名相同端口相同限制范围:Cookie、LocalStorage 和 IndexDB 无法读取DOM 无法获得AJAX 请求不能发送简单说,协议、域名、端口三者任意不同的两个 URL 之间不允许通信,范围包括获取对方 Coo
2023-01-04
1. RestfulREST,是Representational State Transfer的缩写,表现层状态转化。Restful,是一种开发理念,万维网软件架构风格。1.1 Restful特点抽象资源图片、文本、歌曲、视频都是一种资源实体,在网络上,被抽象为资源。在Restful中,JSON常被
2023-01-04
在前后端分离框架中,API文档频繁交接。如果涉及到第三方接口调用,多方合作场景下,API和文档变更可能会更快。为了方便维护API和交接文档,这里给大家推荐一款文档生成工具 - apidoc1.apidoc 简介apidoc 是一个基于 nodejs 的 API 文档生成工具,从代码注释中提取特定格式
2023-01-04
Arachni是一个基于Ruby on Rails框架的Web安全漏洞扫描工具。1. Ruby on RailsRuby on Rails ,缩写ROR,是一个Web框架,包括两部分内容: Ruby 语言和 Rails 框架。Ruby一直以来流行于日本,直到2004年,26 岁的丹麦人 David
2023-01-04
前后端分离开发中,当后端 API 没有完成时,前端无法继续调试。为了前后端能并行开发,前端需要一套 API 的接口环境,这个就是 Mock API 。下面的图,对开发流程进行了很好的顺理。如果没有 Mock 数据的环节,前后端的联调会消耗非常多的时间。1. 何为 Mock ,模拟也通常,后端提供的
2023-01-04
技术输出型公司,一套优秀的文档管理、发布系统必不可少。文档系统是内容管理系统的一种,其对可访问性要求高、单文档更新频率低、发布频率高。笔者认为,以纯静态HTML对外发布文档是个不错的选择。但是,直接写HTML文档,费时费力、不好维护。能不能将我们常用的Markdown文档,转化为HTML对外发布呢?
2023-01-04
最近几年,随着单页面Web应用的崛起,各种框架也不断涌现。前端开始进入工程化、组件化的发展阶段。单页面Web技术,扩展了前端的技术边界,前端也可以路由、渲染页面,不需要依赖后端。后端的工作重点转向了单纯的数据API服务。随着各种BaaS云服务的普及,后端提供API数据接口的价值正在降低。没有流量的网
2023-01-04
笔者从事的SaaS开发,对开发效率有着比较高的要求。从项目立项、原型设计评估、需求确定、前端设计、后台开发到最后的验收,几个星期完成一次迭代。在敏捷开发的指导下,开始推行前后端分离模式。前端专注于页面和交互,后端专注于API接口。后端提供API,涉及权限认证、参数校验、异常处理、分页等一系列问题。同
2023-01-04
1. Admin 自动注册全部 Model 字段admin.py 1 2 3 4 5 6 7 8 9 10 # -*- coding: utf-8 -*- import inspect from django.contrib import admin from . import mo
2023-01-04
在前后端分离开发过程中,提供给前端的 API 接口,有的使用 GET 请求,有的使用 POST 请求。为了避免,后端在 views.py 的 request 中取值报错,需要在每个 view 函数中判断请求头的方法。于是,提取了一个公共的函数放在 utils.py 中,以便 view 函数引用。使用
2023-01-04
1. 场景在一个项目中,header、footer等元素经常被重复使用。为了避免,每个页面重写这些元素,同时,在修改时,不用去每个页面修改,需要将公共的部分抽离出来,这就是Django模板继承。2. Django的复用模板标签Django内建的复用模板标签主要有,block 、 extends、in
2023-01-04
Awesome-DjangoDjango应用、项目和资源集合Django-Packages大量Django第三方组件。Django-Mptt在数据库中存储层级数据结构。Django-Rest-Framework自动生成 RESTful API。Django-Rest-Framework-Jwt为Dj
2023-01-04
1. DRF的权限管理Django REST Framework的权限管理包括两个部分。一个是认证Authentication方式。指定对用户进行鉴权的方式,获取request.user。一个是权限控制Permissions。针对Django资源、用户类别进行权限控制。1.1 认证方式相关源码在re
2023-01-04
